TeamViewer是一个文件共享和通信程序,还使IT团队可以远程访问企业员工的设备。 不幸的是,它作为企业工具的强大功能也使其在网络分子中广受欢迎,并且,事实上,TeamViewer已被用于从帐户滥用黑客到网络钓鱼计划的一系列网络操作中。 最近,我们调查了另一种滥用情况。 1月20日,FewAtoms的一位安全研究人员在野外发现了一个恶意URL。 该URL是一个开放目录,可将潜在的受害者引导至恶意的自解压存档。 在对存档进行进一步分析后,我们发现它是木马软件(趋势科技检测为TROJANSPY.WIN32.TEAMFOSTEALER.THOABAAI)收集并窃取了伪装为TeamViewer的数据。 如果成功在受害者的设备上下载并执行了该操作,该特洛伊木马程序程序将创建文件夹%User Temp%\ PmIgYzA 并删除以下文件: %用户温度%\ PmIgYzA \ FZhIG.ico %用户温度%\ PmIgYzA \ config.bin %用户温度%\ PmIgYzA \ 0.0 %User Temp%\ PmIgYzA \ TV.dll(恶意负载) %User Startup%\ Gateway Layer 1.3957.lnk(指向已删除的TeamViewer.exe的快捷链接) 以及一些非恶意文件: %User Temp%\ PmIgYzA \ TeamViewer.exe %User Temp%\ PmIgYzA \ TeamViewer_Resource_fr.dll (注意:%User Temp%是当前用户的Temp文件夹; %User Startup%是当前用户的Startup文件夹) 图1.木马软件丢弃的文件 到达受害者的系统后,该恶意软件执行TeamViewer.exe文件,该文件加载了恶意DLL %User Temp%\ PmIgYzA \ TV.dll 。 然后,特洛伊木马软件收集用户和设备数据(在下面列出)并连接到网站hxxp:// intersys32 [。] com以发送和接收此信息。 操作系统 操作系统架构 电脑名称 用户名 内存大小 视听产品的存在 管理员权限
深入该网站的人发现了与该特定URL连接的其他恶意软件,例如特洛伊木马币CoinSteal和另一个名为Fareit的信息窃取者和恶意软件丢弃程序。 这可能暗示了特洛伊木马软件的大规模行动。
图2。连接到intersys32 URL的恶意软件
预防和解决方案 这种对TeamViewer的滥用不是新现象。 众所周知,恶意软件开发人员早在2016年就使用该工具以类似的方式提供后门程序和键盘记录程序。我们看到该工具被木马化,是将恶意DLL添加到合法版本中以加载到受害者的设备上。 2017年,一份已发布的报告还显示了TeamViewer如何被用来控制受感染的计算机,而不仅仅是作为恶意软件的加载器。 鉴于存在滥用的可能性以及最近发布的伪装成合法软件的恶意软件的计划,用户应使用多层保护来保护其端点。 以下趋势科技产品可以保护用户免受这种威胁的影响: 趋势科技™安全,云安全智能防护套件 已更新,其中包含TeamViewer的声明: 本文中描述的恶意软件不是官方的TeamViewer软件。 它是该软件的修改版,盗版版。 强烈建议仅从TeamViewer官方网站下载该软件。 从信誉良好的来源获取软件是防御威胁的最佳方法,例如此处所述的特洛伊木马软件。 为了从最新的安全预防措施中受益,TeamViewer建议始终使用其软件的最新版本。
妥协指标 SHA b2ab87d5408a19b0d65d49b74c0f3d879ac55c3e57117e4117ff500394e2ad17 恶意URL: hxxp:// rosalos [。 ] / xxx / hxxp:// intersys32 [。] com 来自Raphael Centeno和Patrick Roderno的其他见解
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢